Certificate Transparency

Certificate Transparency (CT) ist ein Prozess, der die Prüfung ausgestellter digitaler Zertifikate für verschlüsselte Internetverbindungen ermöglichen soll. Der Standard sieht die Protokollierung aller durch eine Zertifizierungsstelle (Certificate Authority) ausgestellter digitaler Zertifikate in einem revisionssicheren Logbuch vor. Dieses soll die Erkennung irrtümlicher oder böswillig ausgestellter Zertifikate für eine Domain ermöglichen. Im Juni 2013 wurde er als experimenteller RFC 6962^[1] von der IETF angenommen. Der Standard wird maßgeblich von Google vorangetrieben.

Im September 2011 wurde bekannt, dass es Hackern gelungen war, in die Systeme der Zertifizierungsstelle DigiNotar einzudringen und sich für mehr als 500 Domains gefälschte Zertifikate auszustellen. Diese wurden in der Folge unter anderem zur Überwachung iranischer Bürger genutzt.^[2] Als Reaktion begann Google nach eigener Darstellung mit der Entwicklung von Certificate Transparency.^[3] Im März 2013 startete das Unternehmen den ersten Certificate Transparency Log,^[4] wenig später führte mit DigiCert die erste Zertifizierungsstelle das Verfahren ein.^[3] Seit Januar 2015 akzeptiert der von Google entwickelte Webbrowser Chrome neu ausgestellte Extended-Validation-Zertifikate nur noch, wenn ihre Ausstellung per Certificate Transparency protokolliert wurde.^[5] Im Juni 2016 zwang das Unternehmen die Zertifizierungsstelle Symantec an dem Prozess teilzunehmen, ansonsten würde Chrome vor Zertifikaten Symantecs warnen.^[6] Zuvor hatte Google festgestellt, dass Symantec falsche Zertifikate für Domains des Unternehmens ausgestellt hatte.^[7]

Seit 30. April 2018 zeigt Chrome eine Warnung bei Zertifikaten an, deren Ausstellung nicht protokolliert wurde. Dies gilt allerdings nur, wenn das Zertifikat nach dem 30. April 2018 ausgestellt wurde. Zertifikate, die vor dem Stichtag ausgestellt wurden, werden derzeit nicht berücksichtigt.^[8][9] Auch Apple erfordert die Protokollierung ausgestellter Zertifikate via CT.^[10] Firefox erfordert und prüft CT nicht.^[11] Auf der Website no-sct.badssl.com kann getestet werden ob der eigene Browser CT prüft. Ist dies der Fall zeigt der Browser eine Fehlermeldung an (z. B. bei Chrome "NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED"). Ist dies nicht der Fall wird stattdessen eine rote Seite angezeigt. Auch Microsoft Edge prüft CT (siehe Testseite).

Normen und Standards[Bearbeiten | Quelltext bearbeiten]

CT wird fortwährend weiterentwickelt:

• B. Laurie, A. Langley, E. Kasper: RFC 6962 – Certificate Transparency. Juni 2013 (englisch).
• B. Laurie, E. Messeri, R. Stradling: RFC 9162 – Certificate Transparency Version 2.0. Dezember 2021 (löst RFC 6962 ab, englisch).

Weblinks[Bearbeiten | Quelltext bearbeiten]

• Offizielle Website
• Shedding Light on Certificates: The Web PKI and Certificate Transparency – Übersichtsartikel (englisch)

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ B. Laurie, A. Langley, E. Kasper: RFC 6962 – Certificate Transparency. Juni 2013 (englisch).
2. ↑ Protokoll eines Verbrechens: DigiNotar-Einbruch weitgehend aufgeklärt. In: heise Security. Abgerufen am 26. April 2017. 
3. ↑ ^{a b} Certificate Transparency (CT) Status. In: DigiCert.com. Abgerufen am 26. April 2017 (englisch). 
4. ↑ Known Logs. Certificate Transparency, abgerufen am 26. April 2017. 
5. ↑ Certificate Transparency: Google setzt Symantec die Pistole auf die Brust. heise Security, abgerufen am 26. April 2017. 
6. ↑ TLS-Zertifikate: Google zieht Daumenschrauben der CAs weiter an. heise Security, abgerufen am 26. April 2017. 
7. ↑ Symantec hantiert mit falschem Google-Zertifikat. heise Security, abgerufen am 26. April 2017. 
8. ↑ Devon O’Brien: Certificate Transparency Enforcement in Chrome and CT Day in London. Abgerufen am 2. Mai 2018. 
9. ↑ Chrome: Google macht Ernst mit Certificate Transparency. heise Security, abgerufen am 2. Mai 2018. 
10. ↑ Apple’s Certificate Transparency policy. Apple Inc., abgerufen am 22. Februar 2022. 
11. ↑ Certificate Transparency (MDN Web Docs). Abgerufen am 22. Februar 2022.